域控制器僅僅是一個控制器。它們控制身份驗證、可能還有授權(quán)和一些會計工作，同時且通常且還為你公司中用作Windows部件的所有事件掌控安全身份的生命周期。

　　就其本身而論，域控制器存在一些特別安全考慮。那么你如何為這方面評分呢?為了強(qiáng)化域控制器周圍的整個環(huán)境，請注意以下五個要點。

　　1. 限制物理訪問。這是你可以為你的總體域控制器安全包提供的唯一最大緩解因素。這里的首要問題是，你的域控制器高于你的網(wǎng)絡(luò)上一切的中央安全機(jī)構(gòu)，并且正如你所知，如果你具備對機(jī)器進(jìn)行本地物理訪問的權(quán)利，那么就存在許多通過關(guān)閉硬盤來獲得信息權(quán)利的瑣碎方法。哈希算法自身提供了一個黑客所需的一切，以使其成為一個真實的、合法的可以通過驗證的用戶，且如果你控制了域控制器的磁盤，那么這些很容易做到。更不用說通過這些哈希算法來實現(xiàn)實際登錄以及修改登錄腳本的可能性，以及安裝復(fù)制到其它域控制器的惡意程序等。

　　如果你擁有物理的(非虛擬化的)域控制器，那么在你做任何事情之前，請買一個籠子和一個安全鎖并把它們置于其后。不要讓域控制器運(yùn)行在管理服務(wù)臺之下，也不要讓你的數(shù)據(jù)中心成為一個沒有鎖的小盒子。它擁有公司的安全財富這個領(lǐng)域的鑰匙，所以要像你保護(hù)支票一樣保護(hù)它：置于鎖和鑰匙的保護(hù)下。

　　2. 從一開始就合理設(shè)計。一個適當(dāng)設(shè)計的活動目錄拓?fù)浣Y(jié)構(gòu)將會包含威脅，以至于即使是域控制器也會受到危害，但是你的整個森林網(wǎng)絡(luò)不必被摧毀和重建。請確保你的森林和域反映了你在不同的城市、區(qū)縣以及國家擁有的真實的、物理的位置;讓你的組織單元和你的公司里擁有的機(jī)器類型和人員相匹配;并且讓安全組代表你的組織結(jié)構(gòu)圖的層次結(jié)構(gòu)。那么，如果在一個森林中用于歐洲的域控制器受到了損害，你就不必重建用于亞洲的域控制器。

　　3. 虛擬化你的域控制器。通過使用虛擬機(jī)作為你的域控制器，你就可以使用BitLocker或者其它的全驅(qū)動器加密產(chǎn)品對你的虛擬硬盤所在的磁盤進(jìn)行加密。然后，請確保運(yùn)行這些虛擬機(jī)的主機(jī)沒有加入這個域。如果由于某種原因有人偷走了你的主機(jī)和域控制器，那么對于一個在你的目錄中植入惡意文件的攻擊者來講，解密硬盤來獲得對虛擬硬盤的訪問的可能性會是另一個障礙。

　　4. 遵從安全信托的最佳做法。正如安全專家所說的，了解你的范圍。這里存在一個很好的指南，用來理解信托以及其中關(guān)于TechNet的各種考慮。請仔細(xì)注意有選擇性的身份認(rèn)證章節(jié)，它包含一個很好的防止隨機(jī)訪問攻擊的方法。

　　5. 保證目錄服務(wù)還原模式的密碼比其它任何密碼更安全。目錄服務(wù)還原模式是一個特別的模式，當(dāng)出現(xiàn)某些錯誤時，利用它來離線修復(fù)活動目錄。目錄服務(wù)還原模式密碼是一個特別的后門，它提供了對目錄的管理訪問。你是在一個離線的文本模式狀態(tài)下使用它。把它個密碼當(dāng)作一個可以進(jìn)入林的東西來保護(hù)它，因為它就是這樣。你也可以為Windows Server 2008下載一個hotfix，它將會使目錄服務(wù)還原密碼與域管理員賬號同步。或者，如果你已經(jīng)安裝了Service Pack 2版本，那么你已經(jīng)擁有了這個功能，僅僅使用如下命令即可：

　　ntdsutil "set dsrm password" "sync from domain account

　　<DomainAdminAccount>"q q

　　總之，如果一個域控制器被竊取或者以其它方式讓你的公司財產(chǎn)處于一個未認(rèn)證的狀態(tài)，那么你可以不再信任那個機(jī)器。但不幸的是，因為那個域控制器包含了關(guān)于你IT身份的所有有價值的東西以及密碼，所以最好的(也是最容易后悔和痛苦的)建議只能是毀滅該林并重建它。這就是最規(guī)范和積極主動的最佳做法，它構(gòu)成了本文的第一點。

　　TechTarget中國原創(chuàng)內(nèi)容，原文鏈接：http://www.searchsv.com.cn/showcontent_51995.htm?lg=t